Siden maj 2011 har personfølsomme oplysninger om intet mindre end 3.915 syddanske patienter ligget frit tilgængeligt på Region Syddanmarks hjemmeside.

Derfor har Datatilsynet nu politianmeldt regionen og indstillet den til en bøde på 500.000 kroner. Det fremgår af en pressemeddelelse udsendt af datatilsynet.

De personfølsomme oplysninger, der ligger til baggrund for politianmeldelsen, fremgik på en PowerPoint-præsentation, som var blevet udarbejdet til uddannelsesformål på Odense Universitetshospital.

På præsentationen stod både helbredsoplysninger og personnumre.

I en skriftlig kommentar til B.T., skriver Region Syddanmark, at den er ked af sagen.

»Region Syddanmark tager Datatilsynets beslutning til efterretning, og det er en sag, som regionen er ked af. Region Syddanmark samarbejder naturligvis med politiet i deres efterforskning. Regionen arbejder kontinuerligt på at forbedre it-sikkerheden i organisationen, så denne slags sager kan blive undgået i fremtiden,« skriver regionen.

Region Syddanmark benytter ellers regelmæssigt et screeningsværktøj til at sikre, at der ikke ligger personfølsomme oplysninger offentliggjort på hjemmesiden, men screeningsværktøjet kunne ikke scanne de bagvedliggende data i PowerPoint-præsentationer på hjemmesiden.

»Vi ser desværre jævnligt, at myndigheder utilsigtet kommer til at offentliggøre oplysninger om borgere på hjemmesider. Når der offentliggøres dokumenter, som potentielt kan indeholde personoplysninger, er det vores opfattelse, at man som myndighed altid skal overveje relevansen af forudgående og efterfølgende kontrolforanstaltninger,« siger kontorchef i Datatilsynet Frederik Viksøe Siegumfeldt og fortsætter:

»I en sag som den foreliggende, hvor regionen behandler store mængder af følsomme oplysninger om mange borgere, øges kravene til de risikoovervejelser, som regionen skal foretage, ligesom kravene til de faktisk gennemførte foranstaltninger skærpes.«

Region Syddanmark opdagede først fejlen, da Odense Universitetshospital blev kontaktet af en borger i februar 2020. Og på det tidspunkt havde oplysningerne altså ligget frit tilgængelige i 9 år.

Grunden til, at Datatilsynet har valgt at politianmelde regionen, er, at Datatilsynet vurderer, at Region Syddanmark er en institution, der behandler store mængder af personoplysninger, som er af følsom karakter.

»Datatilsynet har også lagt vægt på, at regionen har en skærpet forpligtelse til at beskytte disse oplysninger mod utilsigtet offentliggørelse eller videregivelse, og at det i den forbindelse særligt påhviler regioner, der offentliggør mange dokumenter og store mængder af oplysninger, at føre en passende kontrol med offentliggjorte dokumenter og oplysninger,« skriver Datatilsynet i pressemeddelelsen.

Det er anden gang på to måneder, at Region Syddanmark er blevet politianmeldt af Datatilsynet.

I juli blev regionen også politianmeldt af Datatilsynet. Dengang var det, fordi flere end 30.000 børns oplysninger fra en forskningsdatabase havde ligget offentligt tilgængeligt på nettet.